Kripto para dünyasının bir dönem en büyük opsiyon işlem platformlarından biri olan BitMEX, Kuzey Kore bağlantılı ünlü hacker grubu Lazarus’un düzenlediği sosyal mühendislik saldırısını başarıyla engellediğini duyurdu.
Şirket, saldırıya ilişkin yaptığı açıklamada yalnızca girişimin başarısız kılınmadığını, aynı zamanda saldırının arkasındaki mekanizmanın tersine mühendislikle analiz edilerek önemli bilgiler elde edildiğini belirtti.
BitMEX, saldırının bir çalışanlarının LinkedIn üzerinden “NFT Marketplace” temalı bir Web3 projesi teklifi almasıyla başladığını bildirdi. Amaç, çalışanı kötü amaçlı yazılım içeren bir kodu çalıştırmaya ikna ederek sisteme sızmaktı. Ancak çalışan, kod deposunu incelediğinde şüpheli ifadeleri fark ederek durumu BitMEX güvenlik ekibine iletti.
Yapılan teknik analiz sonucunda Lazarus Grubu’nun takip yöntemlerine dair ipuçlarına ve operasyonel güvenlik açıklarına ulaşıldı. BitMEX, saldırganların daha önce Palo Alto’ya bağlı Unit 42 tarafından Lazarus’a atfedilen “BeaverTail” adlı kötü amaçlı kodu yeniden kullanmaya çalıştığını ortaya koydu.
BitMEX ekibi, saldırı senaryosunun temelinde kullanıcı IP adreslerini ve parolalarını toplayarak bir veritabanına kaydetme amacı olduğunu, ancak saldırganların operasyonel bir hata yaparak orijinal IP adreslerini açığa çıkardığını ifade etti. Bu bilgi ışığında oluşturulan özel bir yazılım ile veri tabanına düzenli sorgular gönderilerek saldırganların kullandığı test ya da geliştirme hesaplarından en az 10 tanesi tespit edildi.
BitMEX, Lazarus Grubu’nun farklı teknik yeterliliklere sahip alt gruplara ayrıldığını gözlemlediklerini belirterek, kampanyada kullanılan temel oltalama yöntemlerinin zayıf olmasına rağmen sonrasındaki saldırı süreçlerinin ileri düzeyde olduğuna dikkat çekti.
Bu gelişme, birkaç hafta önce Coinbase’in yaşadığı ve potansiyel olarak 400 milyon dolara mal olabilecek büyük çaplı veri ihlalinin ardından geldi.
*Yatırım tavsiyesi değildir.
